Dem Armin sei Seidn

Dem Armin sei Schmierzettel

$Firewall und Fritz!Box 7390 VPN Netz zu Netz

leave a comment

Grundlagen:

http://forum.collax.com/viewtopic.php?f=41&t=6126#p27340 von Bartsi » Mo 27. Sep 2010, 14:38

es ist nun vollbracht. Wieso auch immer waren die Einstellungen in der Fritz!Box nicht Optimal. Nach Nächte langem Testen funktioniert es nun vollständig. Für die Leute die dasselbe bauen möchten hier noch mal die Einstellungen im Detail:

Ganz wichtig!!!!
Ruhe bewahren. Die FritzBox übernimmt nicht sofort die Einstellungen nach dem einspielen der Configdatei!! Man muss 3-5 Minuten warten bevor Sie Reaktion darauf bringt.

CBS/CSG

Eigenes Proposals anlegen mit folgenden Werten:

Name: FritzBox
IKE
– Aggressive Mode = OFF                                             //Die Einstellung gibt’s nicht mehr! Ist immer OFF
– Verschlüsselungsmethode = NUR 3DES
– Hash-Algo. = SHA1
– DH-Gruppen = dh gruppe 2, 1024 bit (modp1024)
– Lifetime = 60 (1 Stunde)
– Perfect Forwarding Secrecy = ON!
ESP
– Kompression = OFF
– Verschlüsselungsmethode = NUR 3DES
– Hash-Algo. = SHA1
– Keylifetime = 60 (1 Stunde)

Link Einstellungen:
– Name = Verbindung zur FritzBox
– Typ = VPN (IPSec/L2TP)
– Verbindungsaufbau = Auf Einwahl warten (FB Baut die Verbindung auf)
– VPN-Gateway = host.dyndns.org
– Eigener Schlüssel = PSK
– Eigene ID = IP Adresse vom CSG/CBS
– Passphrase = MEGASECRETPASSWORT
– ID der Gegenstelle = @host.dyndns.org (das @ ist wichtig!)

Bitte Entsprechend erreichbare Netzwerke anklicken!

– Absenderadresse: Lokale IP vom CSG/CBS

Fritz!Box VPN
Hier poste ich einfach die CFG Datei:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = „VPN zum CSG/CBS“;
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = xx.xx.44.99;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = „host.dyndns.org“;
                }
                remoteid {
                        ipaddr = xx.xx.44.99;
                }
                mode = phase1_mode_idp;
                phase1ss = „alt/all-no-aes/all“;
                keytype = connkeytype_pre_shared;
                key = „MEGASECRETPASSWORT“;
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.128;
                                mask = 255.255.255.192;
                        }
                }
                phase2remoteid {
                       ipnet {
                              ipaddr = 192.168.1.0;
                               mask = 255.255.255.192;
                       }
                }
                phase2ss = „esp-3des-sha/ah-no/comp-no/pfs“;
                accesslist = „permit ip any 192.168.1.0 255.255.255.192“,
                             „permit ip any 192.168.1.128 255.255.255.192“;
        }
        ike_forward_rules = „udp 0.0.0.0:500 0.0.0.0:500“,
                            „udp 0.0.0.0:4500 0.0.0.0:4500“;
}
// EOF

Hierbei ist bitte zu beachten:
– Subnet auf 4 Standorte verteilt /26
– xx.xx.44.99 ist die feste IP Adresse des CSG/CBS natürlich auch dynamisch möglich

Hier kommen noch ein paar Links zur Weiterbildung:

 vpncfg fritzbox phase1_mode_idp – Google-Suche

 IPSec – Fritzbox – Securepoint Wiki

 VPN mit der FritzBox :: network lab

 IPSec VPN zwischen Fritz!Box und Linux – computersalatcomputersalat

 ipsecFritzer – ein Tool zur Generierung von Mac-OS-X und iOS-kompatiblen FritzBox!-VPN-Config-Dateien | Martin Brüggemann | Blog

 Anpassung einer VPN-Verbindung von FRITZ!Box zu FRITZ!Box (LAN-LAN) | AVM Deutschland

 avm.de/fileadmin/user_upload/DE/Service/VPN/box_box.pdf

 [Gelöst] CSG und Fritz!Box 7270 VPN Netz zu Netz – Collax User Forum

Written by Armin Senger

Juli 21st, 2020 at 3:05 pm

Posted in IT